Wenn Sie ein Google Mail-Konto für Ihr Unternehmen-Konto ist der Schlüssel zu Ihrem ganzen Leben. Sie können denken, dass die zwei-Faktor-Authentifizierung (2FA) ist genug, um Verbrecher in Schach, aber die SMS-basierte 2FA kann leicht umgangen werden.
Die Probleme mit 2FA
Zwei-Faktor-Authentifizierung ist ideal für account-Sicherheit. Statt nur nach einem Passwort gefragt werden, eine 2FA-Konto aktiviert wird, senden Sie einen code über SMS oder über eine Authentifizierungs-app auf Ihrem Handy, die Sie haben, um Sie enter, um zu bestätigen, es ist Sie. Das ist großartig, denn wenn Ihr Passwort gestohlen wird, kann der Angreifer benötigt immer noch physischen Zugriff auf das Telefon.
Mindestens, das ist, wie soll es funktionieren, aber es gibt eine wichtige Einschränkung: auch mit 2FA basierend auf authenticator-apps (die nicht auf SMS) mit Ihrem Telefon-Nummer noch Funktionen wie die recovery-Gerät auf Ihr Konto. Nicht Ihr Handy, aber Ihre Telefonnummer. Das heißt, wenn jemand übernimmt die Kontrolle über Ihre Nummer, Sie haben jetzt Zugriff auf Ihr Konto.
Dies ist nicht nur eine hypothetisch—es ist unglaublich einfach zu stehlen jemand die Telefonnummer. Wenn ich ein Upgrade auf ein neues Handy zu einem Verizon store, Sie nur gefragt für zwei Dinge: meine Telefonnummer und mein Geburtstag, die beide öffentlich zugänglich sind (obwohl Sie Ihren Geburtstag in der Regel auch nicht sein sollte). Sie nahmen Sie nicht meine ID, die Sie gar nicht überprüfen, ich war der Kontoinhaber, die Sie gar nicht brauchen, mein altes Handy, und Sie nicht überprüfen, meine Kreditkarte. Sie gab mir einfach nur eine neue SIM-Karte mit meiner Telefonnummer verknüpft, um es, und ich war aus der Tür. Aber es hätte leicht einer anderen Nummer, und es hätte leicht verkaufen.
Was noch schlimmer ist, ist, dass ein hacker bei diesen Angriffen wäre es nicht einmal nötig, Ihr Kennwort, wie basic Gmail-Konten können Ihre Passwörter zurücksetzen mit nur Ihre Handy-Nummer. Die Lösung für dieses problem ist, schneiden Sie das Telefon insgesamt, und nicht Wetten, die Kontrolle über Ihr Konto auf die Faulheit Verizon retail Arbeitnehmer.
Google Erweiterte Schutz
Zwei-Faktor-Authentifizierung wird am häufigsten verwendet, mit einem Handy, denn jeder hat eine in der Nähe die ganze Zeit. Aber Sie sind nicht das einzige Gerät, das Sie verwenden können.
Diese sind die Google-Titan-Sicherheitsschlüssel. Sie sind Schlüsselanhänger, die Funktion als zwei-Faktor-Gerät; Sie können von Ihnen denken, wie die Schlüssel zu Ihrem Auto, außer Sie sind notwendig, um sich in Ihrem Google Mail-Konto.
Diese Tasten können nicht gestohlen werden (kurz jemand Taschendiebstahl Sie), und Sie können nicht phished, da die echten physischen Zugriff ist das, was Sie betreiben. Diese Authentifizierungsmethode wird allgemein als Universelle Zwei-Faktor -, oder U2F. Titan keys sind nicht der einzige Schlüssel, den Sie bekommen können entweder, es gibt einen standard namens FIDO, die bestimmt, wie Sie funktionieren sollte, und es gibt viele von Ihnen auf dem Markt.
Sie können diese Tasten als drop-in-Ersatz für SMS-2FA, aber Sie sind am besten in Kombination mit Google Erweiterte Schutz-Programm. Erweiterte Schutz setzt Voraus, dass Sie diesen Schlüssel, und es sperrt Account-Recovery ein viel schwieriger Prozess, d.h. niemand umgehen kann, die Ihr Konto 2FA und Passwort stehlen, Ihre Telefon-Nummer (das ist das Hauptproblem mit regelmäßigen Authentifizierung).
Die wichtigste Einschränkung ist, dass Sie sperren Ihr Konto nach unten ganz ein bisschen. Sie werden nicht in der Lage, einige Drittanbieter-apps, die Zugriff auf Ihre Daten, und Sie werden gezwungen sein, verwenden Sie Chrome oder Firefox, um den Zugriff auf Ihr unterzeichnet-in Google-Diensten, obwohl mobile Chrome funktioniert.
Zum Aktivieren Erweiterter Schutz
Zunächst müssen Sie einige Sicherheits-Schlüssel. Während Sie können jede Schlüsselanhänger, der ist FIDO-kompatibel, wir empfehlen den Google-Titan-Schlüssel, wie Sie integrieren sich am besten mit Ihren Dienstleistungen und werden offiziell unterstützt.
Die Titan-Tasten sind 50 $für das paar. Erhalten Sie einen Bluetooth-Schlüssel, die Primärschlüssel, und eine, die aussieht wie ein flash-Laufwerk, die Ihre backup-Taste, falls Sie verlieren das erste. Sie sollten auf jeden Fall halten diese in getrennten Orten.
Sie müssen warten, für Sie zu versenden, aber sobald Sie ankommen, werden Sie in der Lage, anmelden, Erweiterte Sicherheits-Schutz durch die Verknüpfung beide Ihre Schlüssel.
Danach werden Sie abgemeldet auf allen Geräten, die erfordern, Schlüsselanhänger Zugang wieder anmelden und Ihr Konto ist jetzt so sicher wie ein Google-Konto sein kann.
Für die G-Suite, ist alles ein bisschen komplizierter. Ihren G-Suite-administrator-Konto (das muss ein Ende haben mit Ihrem domain-Namen) können derzeit nicht ermöglichen, den Erweiterten Schutz, den normale Google-Konten, aber Sie können immer noch Ihre Titan-Taste zum aktivieren key fob Genehmigung.
Die wichtige Sache zu beachten ist, dass dies nicht geben Ihnen die erweiterte recovery-Schutz angeboten, um Erweiterte Schutz-Nutzer. Sie können dies umgehen, indem einfach entfernen Sie Ihre Telefonnummer aus dem recovery-Optionen, wie es nicht notwendig ist. Stellen Sie sicher, dass ein backup-E-Mail (die können Sie Ihre regulären Gmail-Konto), falls Sie Ihr Passwort vergessen haben. Auch wird die Wiederherstellung automatisch ausgeschaltet jedenfalls, wenn Ihr G-Suite-Domäne mehr als 3 admins oder mehr als 500 Benutzer, um zu verhindern, dass Angriffe auf große Unternehmen.
Darüber hinaus können Sie erzwingen, Erweiterter Schutz für alle Benutzer unter Ihrem G-Suite. Dies zwingt Sie, Ihre eigenen Schlüsselanhänger, und sperrt SMS-basierten account-recovery. Beachten Sie, dass dies nur für die Konten der Mitarbeiter, und nicht für Ihr administrator-Konto, wie, dass braucht seine eigene setup.